Che cos’è un Data Breach?

Un data breach è un incidente di cybersecurity in cui un individuo o un'entità non autorizzati accedono, visualizzano, rubano, alterano o utilizzano informazioni sensibili, riservate o protette. I data breach, o violazioni dei dati, possono verificarsi a causa di vari tipologie di attacchi informatici, come: hacking, insider leaks, frodi con carte di pagamento, attacchi malware, perdita o furto di dispositivi fisici, divulgazione non intenzionale o altre ragioni sconosciute.

Le tipologie di dati rubati a seguito di un data breach possono includere: numeri di carte di credito, dati dei clienti, segreti commerciali, cartelle cliniche, informazioni finanziarie, informazioni di identificazione personale (PII) o questioni di sicurezza nazionale. Le violazioni di dati possono colpire aziende di ogni dimensione, settore e area geografica e si verificano con una frequenza allarmante. Le conseguenze sono gravi per le organizzazioni e le aziende che si trovano ad affrontare costose multe per violazioni della conformità, controversie legali e danni a lungo termine alla reputazione dell'azienda.

Poiché i data breach sono molto redditizi, gli aggressori mirano alle informazioni di identificazione personale (PII). Le piccole organizzazioni potrebbero pensare di non essere un bersaglio per via delle loro dimensioni, ma spesso accade il contrario. Infatti, possono essere un bersaglio più appetibile di una grande azienda con difese di cybersecurity efficaci. Per questo ed altri motivi, la sicurezza informatica dovrebbe essere una priorità anche per le piccole e medie imprese.

Eventi che possono causare un data breach

• Attacchi di tipo hacker o malware: sono i metodi più comuni di violazione dei dati. Gli aggressori utilizzano tecniche come il phishing, l'ingegneria sociale, gli attacchi a forza bruta o lo sfruttamento di vulnerabilità nel software o nei sistemi per ottenere l'accesso non autorizzato a dati sensibili.
• Fughe di informazioni interne: un utente fidato o un individuo con accesso privilegiato può abusare dei propri diritti per rubare o compromettere i dati. Le motivazioni alla base delle minacce insider possono essere il guadagno finanziario, la vendetta o azioni non intenzionali.
• Truffa delle carte di pagamento: i dati delle carte di pagamento vengono rubati utilizzando dispositivi fisici di skimming o altri metodi.
• Perdita o furto: i computer portatili, i computer dell'ufficio, i dischi rigidi portatili, i file e altri beni fisici possono essere smarriti o rubati.
• Divulgazione involontaria: dati sensibili possono essere esposti a causa di errori dell'utente, sbagli e negligenza.
• Sicurezza inadeguata: le carenze tecnologiche, il comportamento degli utenti e la debolezza delle credenziali sono alcuni dei motivi più comuni che portano a data breach.
• Motivi sconosciuti: in un numero limitato di casi, la causa effettiva di una violazione dei dati può rimanere sconosciuta.

Le violazioni dei dati possono avvenire sia offline che online. Gli hacker, infatti, possono utilizzare canali come Internet, Bluetooth, messaggi di testo o servizi online per accedere ai dati sensibili.

Le informazioni sui clienti non sono l'unico obiettivo dei cybercriminali. I dati ottenuti durante un data breach possono portare ad attacchi più sofisticati. Ad esempio, le credenziali rubate da una campagna di phishing possono portare ad un accesso autorizzato privilegiato a dati sensibili.

Gli obiettivi di un data breach includono:

• Password deboli: anche se le password sono crittografate, i codici cifrati obsoleti o le password vulnerabili agli attacchi a dizionario possono essere utilizzati per minacce future.
• Credenziali rubate: phishing, spear phishing e whale phishing prendono di mira gli utenti per rubare le credenziali e altre informazioni sensibili.
• Risorse compromesse: l'accesso alle credenziali, l'implementazione di malware o lo sfruttamento di applicazioni che forniscono un accesso non autorizzato possono consentire a un aggressore di esfiltrare silenziosamente i dati.
• Informazioni aziendali: i dati aziendali riservati come gli elenchi dei clienti, il codice sorgente, la proprietà intellettuale e i dati dei dipendenti possono essere obiettivi preziosi dei data breach.
• Dati sanitari personali: le organizzazioni sanitarie con misure di sicurezza e di conformità HIPAA deboli possono essere vulnerabili alle violazioni di dati che coinvolgono cartelle cliniche, informazioni sull'assicurazione sanitaria, numeri di previdenza sociale e altri dati personali.
• Truffe delle carte di credito: skimmer e phishing prendono di mira gli utenti per ottenere i dati della loro carta di credito.
• Credenziali e accesso di terzi: l'accesso tramite una terza parte, come un fornitore o un appaltatore esterno, è una strategia adottata dagli aggressori.
• Dispositivi mobili: la sicurezza degli endpoint è più importante che mai, poiché i dispositivi mobili possono essere una porta d'accesso alla rete locale e ai vostri dati.

A differenza di altri attacchi, una violazione dei dati non può essere risolta con una semplice patch e un aggiornamento del software. Di solito si cerca di aggiungere un'ulteriore infrastruttura di sicurezza informatica alla rete, ma anche in questo caso il danno è già fatto.

I data breach possono comportare danni sostanziali sia per i singoli che per le organizzazioni, tra cui:

• Perdita finanziaria: l'impatto finanziario di un data breach può essere immediato e devastante per le organizzazioni. Il costo di una violazione di dati è aumentato negli ultimi anni e comprende i costi delle indagini, della bonifica e delle spese legali. Secondo il rapporto 2022 Cost of a Data Breach, il costo medio di una violazione di dati negli Stati Uniti è di 9,44 milioni di dollari.
• Danno alla reputazione: i danni alla reputazione derivanti da una violazione dei dati possono essere molto pesanti per un'azienda. I clienti e i fornitori possono decidere di cessare l'attività con le organizzazioni che hanno subito una violazione. Inoltre, potrebbero condividere la loro esperienza con terzi, anche sui social media.
• Tempi di inattività operativa: un data breach può causare significativi tempi di inattività operativa, con conseguente perdita di produttività e di fatturato per le organizzazioni. A seconda del processo di bonifica, questi tempi morti possono essere molto costosi.
• Azioni legali: le organizzazioni che subiscono una violazione dei dati possono dover affrontare azioni legali da parte degli individui interessati, degli enti normativi o di altre parti interessate.
• Perdita di dati sensibili: una violazione dei dati può comportare la perdita di dati sensibili, tra cui informazioni personali, informazioni aziendali e proprietà intellettuale.
• Danni conseguenti: i danni conseguenti a una violazione dei dati possono includere la perdita di profitti o i danni alla reputazione, che possono essere difficili da stimare al momento della violazione.
• Danni di mitigazione: i danni di mitigazione possono includere il costo del monitoraggio del credito, la protezione dal furto di identità e altre misure adottate per mitigare gli effetti della violazione.

Le principali vittime dei data breach

La gravità di un data breach dipende dall'obiettivo che gli attaccanti vogliono raggiungere. Se da un lato può essere devastante per i singoli, dall'altro le violazioni di dati possono costare milioni alle organizzazioni e avere un impatto negativo sulle loro entrate a lungo termine. Le tre principali entità colpite dai data breach sono:

• Aziende: un'organizzazione vittima di una violazione dei dati può perdere denaro in cause legali e risarcimenti, ma il danno più considerevole è quello della reputazione del marchio. Target, Equifax e Yahoo sono ben noti per le violazioni dei dati che hanno subito. Sono costate milioni di euro in termini di perdita di fiducia dei consumatori e di danni al marchio.
• Governo: segreti militari, commerciali governativi e personale sotto copertura sono a rischio se un aggressore compromette l'infrastruttura governativa.
• Privati: per i singoli individui, il rischio monetario più significativo è il furto d'identità. I dati individuali potrebbero essere venduti sui mercati darknet o utilizzati immediatamente per aprire linee di credito, acquistare prodotti o creare conti fraudolenti.

Quando si pensa ai data breach, di solito si pensa a un hacker che compromette una rete e ruba i dati. Tuttavia, le violazioni dei dati possono derivare da diverse azioni. L'errore umano, ad esempio, è uno dei principali elementi dei casi di data breach.

Tra i diversi tipi di violazione dei dati ci sono:

• Credenziali conservate nel codice sorgente: gli sviluppatori commettono l'errore comune di lasciare le credenziali o le chiavi di accesso nei repository di codice. Gli aggressori eseguono spesso ricerche nei repository pubblici su GitHub per trovarle.
• Sistemi di autenticazione o autorizzazione non funzionanti: applicazioni con vulnerabilità o qualsiasi infrastruttura di cybersecurity con bug potrebbero consentire a un aggressore di ottenere un accesso non autorizzato.
• Intercettazioni: il traffico non criptato attraverso una rete è vulnerabile all'intercettazione e alle intercettazioni.
• Errore umano: la negligenza o un dipendente insoddisfatto potrebbero divulgare i dati di proposito o accidentalmente, cadendo nel phishing o nel social engineering.
• Malware: questi programmi sono progettati per infettare il computer della vittima e rubare informazioni sensibili.
• Ransomware: si tratta di un sofisticato tipo di malware che cripta i file della vittima e richiede il pagamento di un riscatto per la chiave di decriptazione.
• Registrazione dei tasti: conosciuto come keylogger, questo tipo di malware può essere progettato per registrare i tasti premuti dall'utente, consentendo all'aggressore di catturare informazioni sensibili come le password.
• Phishing: questa forma di social engineering consiste nell'ingannare gli utenti per indurli a rivelare informazioni sensibili, come le credenziali di accesso o i numeri di carta di credito, con conseguente violazione dei dati.
• Hacking: se un aggressore ottiene l'accesso ai dispositivi degli utenti o compromette l'infrastruttura interna, può installare malware per rubare i dati.
• Minacce interne: i dipendenti in servizio o cessati potrebbero inviare di proposito i dati a terzi o sottrarli per trarne profitto.
• Furto fisico: le organizzazioni sono vulnerabili al furto di dati quando vengono rubate le risorse locali, i dispositivi degli utenti, i laptop di lavoro e altre risorse fisiche.

Gli incidenti di sicurezza informatica sono in aumento da anni. Ma gli incidenti sono saliti alle stelle dopo che il COVID ha mandato a casa i lavoratori. Le aziende sono state costrette a utilizzare i lavoratori remoti per ogni aspetto della produttività aziendale. Questo cambiamento ha portato a un aumento dei casi di data breach. Gli utenti hanno memorizzato i dati sui loro dispositivi personali e le organizzazioni hanno aperto risorse cloud e infrastrutture interne accessibili tramite VPN.

Molte delle ultime statistiche sulle violazioni di dati sono dovute alla pandemia. Ma ecco alcune statistiche che hanno avuto un impatto sulla sicurezza informatica e sulle aziende:

• L'impatto COVID-19 dei lavoratori remoti ha aumentato i costi di violazione dei dati di 137.000 dollari per incidente.
• Il 76% delle organizzazioni ha indicato in un sondaggio IBM che i lavoratori remoti aumentano il tempo necessario per identificare e contenere una minaccia.
• Gli esperti contano 192.000 attacchi noti legati al Coronavirus e il numero continua a crescere.
• Gli attacchi al settore sanitario che hanno come obiettivo le informazioni sui pazienti sono aumentati del 58%.
• Gli exploit e le compromissioni delle applicazioni web sono raddoppiati dal 2019 e rappresentano il 43% degli attacchi.
• I prestiti offerti dal governo statunitense per aiutare le piccole imprese interessate da una violazione dei dati riguardano 8000 di esse.
• Symantec stima che ogni mese 4800 siti web vengano compromessi dal clickjacking.
• Verizon stima che il 71% delle violazioni di dati sia motivato da ragioni finanziarie.
• Nel 2019, il 36% delle violazioni di dati proveniva da criminali informatici organizzati.
• Ci vogliono in media 80 giorni per contenere una minaccia.
• Le organizzazioni sanitarie sono quelle che hanno avuto più difficoltà a contenere le minacce e hanno impiegato in media 329 giorni per farlo.
• Microsoft Office rappresenta il 48% degli allegati di file dannosi.
• Il costo medio di una violazione dei dati a livello globale è di 3,86 milioni di dollari.
• Il settore sanitario è quello che paga i costi più alti in seguito a una violazione dei dati, con 7,13 milioni di dollari per incidente.
• La maggior parte dei costi derivanti da una violazione dei dati avviene un anno dopo l'incidente.
• Un dipendente del servizio clienti di un istituto finanziario ha accesso a 11 milioni di dati, il che lo rende a rischio di social engineering e phishing.
• L'80% delle violazioni riguarda attacchi con password a forza bruta o credenziali rubate.
• Nel 2020, gli attacchi DDoS (Distributed Denial of Service) sono aumentati di oltre il 278%.

Il costo di una violazione dei dati è aumentato significativamente nell'ultimo anno, soprattutto a causa dell'aumento della forza lavoro a distanza. Nel 2015, il costo medio di una violazione dei dati era di 3,8 milioni di dollari. Oggi il costo di una violazione dei dati è di 14,8 milioni di dollari.

Proofpoint ha condotto una ricerca sui costi associati a una violazione dei dati e ha scoperto che i costi collaterali a lungo termine possono persistere dopo l'esborso iniziale. La perdita di produttività del personale addetto alla risposta agli incidenti e di altri dipendenti dovuta ai tempi di inattività si è tradotta in una stima di 63.343 ore sprecate per far fronte a una violazione dei dati.

L'e-mail è un vettore comune negli attacchi e una compromissione costa alle grandi aziende 6 milioni di dollari all'anno. Alcuni attacchi utilizzano l'e-mail e l'ingegneria sociale per indurre i dipendenti a pagare fatture e trasferimenti di denaro fraudolenti per un valore stimato di 1,17 milioni di dollari.

Il ransomware continua a evolversi e può mettere in crisi un'organizzazione. Molti di questi attacchi partono da messaggi di posta elettronica. Alcune organizzazioni pagano il riscatto, ma solo 790.000 dollari dei 5,66 milioni di dollari spesi annualmente provengono dal pagamento del riscatto.

Il costo medio che le organizzazioni devono sostenere per risolvere un data breach è di 807.506 dollari, in netto aumento rispetto ai 338.098 dollari del 2015. Molti di questi costi sono dovuti al furto di credenziali tramite phishing. Complessivamente, il malware e l'esfiltrazione dei dati hanno un costo stimato di 137 milioni di dollari.

Gli incidenti informatici si verificano ogni giorno, ma alcuni si distinguono più di altri. Le violazioni di dati che coinvolgono milioni di record hanno l'impatto maggiore sui consumatori e sulle aziende interessate.

Ecco alcune delle più recenti violazioni di dati su larga scala:

• A causa di una configurazione errata del cloud storage, un sito web di prenotazione viaggi ha divulgato 10 milioni di registri contenenti informazioni sugli ospiti dell'hotel, tra cui numeri di identificazione nazionale, informazioni sulle carte di credito, nomi completi e indirizzi e-mail.
• Un'organizzazione di intrattenimento e tecnologia ha erroneamente caricato 5 gigabyte di dati, rivelando 1,4 milioni di informazioni sul personale e sugli utenti dopo un exploit OAuth.
• Sono stati resi noti 7,4 miliardi di documenti di un giornale francese, contenenti dati del personale e degli abbonati, in seguito all'esfiltrazione dal server di archiviazione cloud di un fornitore fidato.
• Nel marzo 2023, oltre 7 milioni di dati di utenti Verizon sono stati presumibilmente rubati da hacker e pubblicati su Breached Forums, un popolare forum di hacker.
• I dati di Uber sono stati violati nell'aprile 2023, con il conseguente furto delle informazioni personali di 57 milioni di utenti e 600.000 autisti.

Tenere conto di ogni minaccia, compreso l'errore umano, è un lavoro a tempo pieno e difficile per le piccole imprese. Tuttavia, le organizzazioni possono seguire standard specifici e utilizzare strategie comuni per fermare gli attacchi. Basta un solo anello debole per causare un data breach, quindi le strategie devono rafforzare ogni aspetto dell'organizzazione, compresi la formazione e l'addestramento del personale in materia di cybersecurity.

Alcune best practice per la protezione dei dati contro i tentativi di data breach:

• Installare sempre la versione più recente del software, in particolare le patch di sicurezza.
• Utilizzare una crittografia sicura per il traffico di rete e l'archiviazione.
• Aggiornare i dispositivi con gli ultimi aggiornamenti del sistema operativo.
• Applicare politiche di sicurezza se gli utenti possono portare con sé i propri dispositivi.
• Ricorrere a politiche sulle password per imporne la lunghezza e la complessità.
• Istruire i dipendenti sui segnali di allarme di phishing, social engineering e altri attacchi.
• Adottate una difesa informatica che protegga i dati da minacce interne, account takeover e applicazioni web rischiose.
• Controlli regolari della sicurezza aiutano a identificare le vulnerabilità e a prevenire le violazioni dei dati.
• I firewall e i sistemi di rilevamento delle intrusioni aiutano a prevenire l'accesso non autorizzato alle informazioni sensibili.
• Implementando la gestione dei privilegi di accesso (PAM), le organizzazioni dovrebbero limitare l'accesso alle informazioni sensibili solo a coloro che ne hanno bisogno per svolgere le proprie mansioni.
• Le organizzazioni devono monitorare l'accesso di terzi alle informazioni sensibili e assicurarsi che i fornitori adottino misure di sicurezza efficaci.

L'assicurazione informatica (cyber insurance) aiuta a compensare i costi coprendo i danni monetari dopo un incidente come un virus o un denial-of-service (DoS). Ma anche con la migliore infrastruttura di cybersecurity, le organizzazioni non saranno mai al 100% prive di rischi. Una assicurazione di cybersecurity aiuta a pagare i costi dopo un incidente, soprattutto quando l'organizzazione è responsabile della perdita di dati. Ad esempio, le organizzazioni sanitarie possono incorrere in multe salate per la perdita di informazioni di identificazione personale (PII).

I contratti di assicurazione variano da un assicuratore all'altro, quindi le organizzazioni devono leggere i termini prima di firmare. Per esempio, un assicuratore potrebbe richiedere che l'organizzazione sia conforme e abbia installato un'infrastruttura specifica di cybersecurity per rimanere coperta dall’assicurazione.

Utilizzando i prodotti Proofpoint, le organizzazioni possono rafforzare la loro posizione di sicurezza e proteggersi dalle violazioni dei dati. Che si tratti di rimanere al passo con i più recenti requisiti di conformità o di organizzare corsi di sensibilizzazione alla sicurezza informatica dei dipendenti, Proofpoint fa in modo che i tuoi dati aziendali siano protetti da: malware, aggressori, spionaggio aziendale, ransomware, phishing e dai numerosi rischi associati alle risorse digitali.